セキュリティアップデート

日々発見・報告されている脆弱性情報を収集しています。危険と判断したものについては、回避処理のご案内と実施を行います。

脆弱性の情報は、総合的なインターネットセキュリティ対策の支援・指導を中立的な立場から行う組織「JPCERT/CC」を中心に収集しています。

セキュリティアップデート例

glibcの脆弱性

○脆弱性の概要
　glibc ライブラリにはバッファオーバーフローの脆弱性 (CVE-2015-7547)が
　あります。本脆弱性を使用された場合、遠隔の第三者によって、任意の
　コードを実行されたり、サービス運用妨害 (DoS) 攻撃が行われたりする
　などの可能性があります。

　CVE-2015-7547
　http://www.jpcert.or.jp/at/2016/at160009.html

○影響対象
　glibc 2.9 およびそれ以降のバージョン
　
　当社ホスティングサービスをご利用のお客様サーバにおいては、
　Red Hat Enterprise Linux及びCentOS6系以上のサーバ全てが
　対象となります。
　　※4系及び5系OSは脆弱性対象外です。
　　※Windows Serverは脆弱性対象外です。

○対策について
　該当するパッケージglibcのアップデート及び、設定適用のためにサーバ再起動を行います。

　利用しているアプリケーション再起動によって適用することは可能ですが、
　glibcは数多くのアプリケーションで利用されており、その影響範囲から、
　万全を期すため、当社としてはサーバ再起動による適用を強く推奨しています。

POODLE

○脆弱性の概要
　POODLE(Padding Oracle On Downgraded Legacy Encryption)と名づけられた
　当脆弱性を利用した攻撃では、SSL3.0を有効にしているサーバとの通信に
　おいてパスワード等の重要情報やCookie情報が第三者に漏えいする可能性が
　あります。

　CVE-2014-3566
　https://www.openssl.org/~bodo/ssl-poodle.pdf

　参考情報
　http://www.ipa.go.jp/security/announce/20141017-ssl.html

○影響対象
　Linux及びWindows Serverにおいて、SSL3.0を有効にしてSSL通信を行っている
　サービスが全て対象となります。

　SSL3.0を利用したサービス(Apache等)を外部へ公開している場合は、
　当脆弱性の影響を受ける可能性があります。

　また、外部からアクセスできない場合は影響を受ける可能性は低いと
　思われますが、下記対策を導入することを推奨しています。

○対策について
　サーバ側のアプリケーションにてSSL3.0を無効化し、サーバを再起動します。
　万全ではありませんが、関連する各サービスのみ再起動する方法もあります。

　なお、SSL3.0は古くから使われている暗号化方式であり、無効化した場合に
　SSL3.0しかサポートしていないような古いWEBブラウザ等で接続できなくなる
　可能性があります。
　(例:Windows XPでIE6を利用しているような環境や、各キャリアの
　古い携帯電話に搭載されているWEBブラウザ等)

　これらの事情により、お客様の利用状況によっては当対策の実施が困難な場合
　もあります。
　
　設定適用の際にサービス再起動が必要になりますので、作業希望時間も
　承っております。